Aylık
KVK Bülteni
Eylül 2018
GSG Hukuk
Bu sayıda www.gsghukuk.com
1 Güncel Haberler
• Birleşik Krallık’ta pazarlama ajansı izinsiz e-posta gönderimi sebebiyle 60.000 £ cezaya çarptırıldı
• Japonya ile veri aktarımı yapan şirketler için iyi haber: Avrupa Birliği Japonya uygunluk kararı için resmi onay sürecini başlattı
• British Airways veri ihlali için özür diledi
• USOM’a İdari Para Cezası kesme yetkisi verildi
• Belçika yeni Veri Koruma Kanunu’nu ve Singapur siber güvenlik yasalarını yürürlüğe koydu
• Kuruluşlar şeffaflığı ve sorumluluğu geliştirmeye devam etmeli
2 Makaleler
• B2B pazarlama e-mailleri için yeni bir dönem mi başlıyor?
• Google ve Fransa davası: Unutulma hakkı yalnızca belirli bir ülke sınırları içinde uygulanabilir mi?
Bu sayıda
GSG Hukuk www.gsghukuk.com
Birleşik Krallık ’ta pazarlama ajansı izinsiz e-posta
gönderimi sebebiyle 60.000 £ cezaya çarptırıldı
İngiliz Bağımsız Veri Koruma Kurumu ICO, Everything DM Ltd.
unvanlı pazarlama ajansına, izin almadan 1.42 milyon e-posta göndermesi sebebiyle 60.000 £ ceza kesti. Söz konusu firma, müşterileri adına belirli bir ücret karşılığında doğrudan müşteriler tarafından gönderiliyor gibi görünecek şekilde pazarlama amaçlı e-posta göndermekteydi.
Ancak Everything DM Ltd., bu e- maillerin gönderildiği kişilerin bu e-mailleri almak için ne kendisine ne de adına pazarlama e-maili gönderdiği şirketlere rıza verdiğini kanıtlayamadı.
ICO Soruşturmalardan Sorumlu Direktörü Steve Eckersley konuyla ilgili “diğer kuruluşlara pazarlama hizmeti veren firmalar, insanların kendilerine pazarlama e-postaları göndermeleri için geçerli rıza verip vermediklerini iki kez kontrol etmeli. Genel üçüncü taraf rızası bu işlemler için yeterli değil ve eğer şirketler yasayı çiğniyorlarsa cezalandırılacaklar" yorumunu yaptı.
Japonya ile veri aktarımı yapan şirketler için iyi haber:
AB Japonya uygunluk kararı için resmi onay sürecini başlattı
Avrupa Komisyonu, Japonya’nın Avrupa Birliği kişisel verileri için Avrupa Birliği standartlarına uygun
ölçüde gizlilik önlemleri
sağlamasını temin etmek amacıyla Japonya hakkında verilen uygunluk kararını resmi olarak benimsemek için prosedür başlattı. Anlaşmanın kilit unsurları arasında hassas nitelikli kişisel veriler gibi konularda standartlar arasındaki farklılıkları gidermek için alınacak koruma önlemleri, Avrupa Birliği verilerinin üçüncü ülkelerle paylaşımı ve erişim ve düzeltme hakkı gibi konular yer almaktadır.
Resmi onay sürecinin bundan sonraki aşamaları Avrupa Veri Koruma Kurulu’nun görüşünün alınması, AB Üyesi Ülkelerin temsilcilerinden oluşan bir komitenin görüşünün alınması ve ardından Komisyon tarafından alınan uygunluk kararı olacaktır.
British Airways veri ihlali için özür diledi
British Airways CEO’su Alex Cruz, havayolunun internet sitesine yapılan çok yönlü ve kötü niyetli olarak tabir ettiği suç niteliğindeki saldırılar için özür diledi. Yaklaşık 380.000 işlemin etkilendiği yolcuların finansal bilgilerinin havayollarının sitesinden ve aplikasyonlarından çalınması süreci 21 Ağustos ve 5 Eylül arasında 2 haftalık bir süreçte gerçekleşti.
Çalınan bilgiler, seyahat ve
pasaport bilgilerine ilişkin detayları içermiyor. İstifa etmesi yönünde baskı altında bulunan Cruz, bu saldırıdan finansal olarak etkilenen her bir müşterinin yaşadığı finansal zorluğun tazmin edilmesi
konusunda kararlı olduklarını belirtti. İhlal sonrası Cuma
gününde British Airways ana şirketi olan IAG’nin hisseleri günü %1.4 oranında düşüşle kapattı. ICO sözcüsü “British Airways bize kazanın gerçekleştiğini bildirdi ve inceleme yapıyoruz” dedi.
USOM’a İdari Para Cezası kesme yetkisi verildi Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezi’ne (“USOM”) siber güvenlik ile ilgili gerekli tedbirleri almayan firmalara yönelik 1.000 TL ile 1.000.000 TL arasında para cezası verme yetkisi verildi.
Son dönemde yaşanan siber saldırılara karşı firmaların altyapılarında, sistemlerinde, yazılım ve donanımlarında zafiyet bulunması ve firmaların bildirilen önlemleri almamaları durumunda doğabilecek risklere karşı bu ceza yetkisinin caydırıcı olması
amaçlanıyor. Nitekim son bir yılda 6 binden fazla zafiyet ve açıklık belirlenerek firmalara iletildi. Bu düzenleme gerek kişisel verilerin korunması gerekse siber güvenlik açısından üst düzey tedbir alması gereken bankalar ve finans kuruluşları için özel önem taşıyor.
2
Güncel Haberler:
www.gsghukuk.com
Güncel Haberler:
Belçika yeni Veri Koruma Kanunu’nu ve Singapur siber güvenlik yasalarını yürürlüğe koydu
GDPR’ın yürürlüğe girmesinden sonra, Belçika yeni ulusal Veri Koruma Kanunu’nu yürürlüğe koydu. Kanun, GDPR’da 16 yaş olarak bahsedilen çocukların bilgi toplumu hizmetlerine rıza
gösterme yaş sınırını 13’e düşürdü.
Ayrıca Belçika hukuku, genetik, biyometrik ve sağlığa ilişkin verilerin işlenmesi hususunda birçok ek hükmü uygulamaya koydu.
Singapur’da ise bu sene başında nihai hale getirilen yeni Siber Güvenlik Kanunu yürürlüğe girdi.
31 Ağustos’ta yürürlüğe giren yeni kurallar, Singapur’da kritik bilgi
altyapısı operatörlerine
uygulanacak ki bu durum en başta enerji, telekom, su, sağlık,
bankacılık, taşımacılık ve medya sektörlerini kapsıyor.
Kuruluşlar şeffaflığı ve sorumluluğu geliştirmeye devam etmeli
ICO, yaptığı bir anket sonrası sektörler arası gelişmelere rağmen kuruluşların kişisel verileri nasıl ele aldığıyla ilgili güven ve itimadın halen düşük olduğunu gösterdi ve kuruluşların kişisel verilerle ilgili şeffaf olmasını gerektiğini hatırlattı.
ICO yürüttüğü çalışmada her üç kişiden birinin kişisel verileri depolama ve kullanma konusunda şirketlere ve kuruluşlara
güvendiğini gösterdi. 2017 yılında her beş kişiden biri güven
duyuyordu. Her yedi kişiden birinin güven duyduğu oran ile en az sosyal medya şirketlerine güven
duyuluyor. Bilgi Komisyonu üyesi Elizabeth Denham: “Tüm dünyada insanlar kişisel verilerin öneminin ve nasıl kullanıldığının farkına vardı. Kişisel veriler toplumun iş yaptığı para birimi haline geldi fakat teknolojideki gelişmeler insanların haklarından daha önde yarışan kuruluşlar anlamına gelmemeli. Bireylerin kontrolde olması ve kuruluşların topluma karşı sorumluluk göstermesi gerekmektedir” dedi.
GSG Hukuk 4
KVK Makaleleri:
B2B pazarlama e-mailleri için yeni bir dönem mi başlıyor?
Pazarlama faaliyetleri, günümüzde kar amacı güden kurumların satış faaliyetlerini besleyen süreçlerin başında gelmektedir. Satış
yapabilmek veya hizmet sunabilmek için potansiyel müşterilere reklam ve pazarlama faaliyetleri sunmanın önemi yadsınamaz. Ancak KVKK ve GDPR ile birlikte şirketler,
pazarlama faaliyetlerini eskisi kadar serbest yürütememektedir, nitekim kişisel veriler ile ilgili almaları gereken birtakım aksiyonlar ortaya çıkmıştır. KVKK ve GDPR
pazarlama faaliyetlerini yasaklamamakla beraber veri korumaya ilişkin önlemlerin alınması ve belirli şartların yerine getirilmesi kaydıyla pazarlamaya imkan tanımaktadır.
Ancak KVKK yürürlüğe girdiğinden beri pazarlama amaçlı e-mail gönderilmesinin, KVKK m. 5/2’de yer alan istisnalardan biri altında değerlendirilip
değerlendirilemeyeceği
tartışılmaktadır. Örneğin pazarlama amaçlı e-mail atmak bir şirketin meşru menfaati sayılarak açık rıza almadan ilerlenebilecek midir?
Doğrudan son kullanıcı/tüketici ile iletişimde olan ve bu kişilere
pazarlama amaçlı e-mail gönderen şirketlerin mutlaka açık rıza alması gerektiği söylenebilir. Ancak birçok şirket doğrudan son
kullanıcı/tüketici ile iletişime geçmemekte, kurumlar ile B2B iş yapmaktadır (business to business).
Bu durumda gönderilen pazarlama e-mailleri aslında kişilerin şahsi e- mail hesaplarına değil, şirket uzantılı e-maillerine
gönderilmektedir. Uygulamada bu durumda da açık rıza alınıp alınmaması gerektiğine ilişkin tartışmalar mevcuttur.
Geçtiğimiz günlerde, görüş almak için İngiltere’deki bağımsız veri koruma kurumu ICO’ya başvuru yapılmış ve B2B olarak çalışanların şirket uzantılı e-mail adreslerine gönderilen e-maillerin meşru menfaat istisnası kapsamında değerlendirilip
değerlendirilemeyeceği ve bu durumda rıza almadan ilerlenmesinin mümkün olup olmadığı sorulmuştur.
ICO, bireylerin şahsi e-mail hesaplarına gönderilecek her türlü pazarlama bildirimi için bireylerden açık rıza almak gerektiğini; ancak kurumlar arası pazarlama
faaliyetlerinde kişinin şirket uzantılı e-mail adresine pazarlama e-maili gönderirken bu rızaya gerek olmayacağını belirtmiştir. Ancak yine de mutlaka meşru menfaatin bulunup bulunmadığının
incelenmesi ve meşru menfaat bulunmayan durumlarda rıza ile ilerlenmesi gerektiği belirtilmiştir.
Meşru menfaatin bulunup
bulunmadığı ile ilgili kriterler kişisel verilerin ölçülü ve mahremiyete en az etkisi olacak şekilde
kullanıldığının gösterilmesi olabilir.
Bunun yanında kişilerin bu tür faaliyetler için toplanan kişisel verileri öğrendiğinde tepkileri/karşı çıkıp çıkmayacakları da başka bir kriter olarak değerlendirilebilir.
Dolayısıyla GDPR kapsamında bazı durumlarda B2B pazarlama e-maili açık rıza almadan gönderilebilir.
Ancak kanaatimizce her halükarda
“bu e-mailleri almak istemiyorum”
gibi e-mail listesinden çıkma opsiyonunun tanınması uygun olacaktır. KVKK kapsamında bu tür pazarlama faaliyetlerinin rıza alınmadan yürütülebileceğini henüz net bir şekilde söylemek mümkün değildir. Bu kapsamda Kurul’un yayınlayacağı bir karar yol gösterici olacaktır.
www.gsghukuk.com
KVK Makaleleri:
Google ve Fransa Davası: Unutulma hakkı yalnızca belirli bir ülke sınırları içinde uygulanabilir mi?
Son günlerde Google veri
mahremiyeti alanında “unutulma hakkı” konusunda Fransa ile yaşadığı uyuşmazlığın temyiz süreci ile ilgili gündemde. Unutulma hakkı aslında uzun zamandır veri
mahremiyeti alanında üzerinde çalışılan bir konsept olmakla birlikte GDPR kapsamında da yerini alıyor. GDPR madde 17 kapsamında veri sahibi, kendisini ilgilendiren kişisel verilerin veri işleme amacı artık geçerli değilse, kişi verinin işlenmesi için rızasını geri çekerse ve başka herhangi bir yasal dayanak mevcut değilse, verinin pazarlama amaçlı toplanması sebebiyle veya verinin kullanılması kişinin meşru çıkarlarına aykırı olması sebebiyle itiraz ederse vb. sebepler halinde silinmesini talep edebilir. Veri sahibi verilerin arama
motorlarından silinmesi isteyebilir ve arama motoru şirket “gereksiz gecikme olmaksızın” o veriyi silmek mecburiyetindedir.
Fransa’nın Veri Mahremiyeti Otoritesi CNIL, unutulma hakkının, Google’a nereden giriş
yapıldığından bağımsız olarak tüm websiteleri için uygulanması gerektiğini belirtmiş ve Google’ın buna uymaması sebebiyle 2015 yılında Google’a unutulma hakkı ile ilgili 100.000 Euro ceza kesmişti.
Bunun üzerine Google söz konusu cezayı Lüksemburg’daki Avrupa Birliği Adalet Divanı’na taşıdı. Bu uyuşmazlık, veri ile ilgili yargılama yetkisinin nerede başlayıp nerede biteceğini ölçmesi açısından en sansasyonel dava olarak görülüyor.
silinmesini talep etmektedir.
Nitekim örneğin VPN kullanılarak kişinin bulunduğu lokasyonun değiştirilmesi durumunda kişinin istenmeyen bilgilere yine
ulaşabileceği ileri sürülmüştür.
Fakat Google bunun mümkün olmadığını belirmiştir. Google’ın bu savunmasındaki en büyük iddiası, eğer unutulma hakkı tüm dünya çapında uygulanırsa bazı
demokratik olmayan ülkelerde ve çevrelerde, veri sahipleri,
haklarında aslında doğru olan bilgileri imha ettirerek diğer ülkelerde yanlış bir imaj oluşturabilecektir. Bu sebeple Google unutulma hakkından sadece yerel olarak yararlanılabileceğini ileri sürmektedir. Google,
Fransa’nın bu talebinin, dünyadaki diktatör ve tiranların sansür kanunlarına izin vererek insanların online dünyada neyi görüp neyi göremeyeceklerine karar vermeleri sonucunu doğurabileceğine dikkat çekmektedir.
Benzer bir uyuşmazlık örneğin bir ülkenin polisi, bir teknoloji firmasından bilgi istediğinde teknoloji firmasının faaliyet gösterdiği ülkelerdeki kanunların bu bilgiyi yabancı polise vermesini yasaklaması durumunda da ortaya çıkabilir. Nitekim 2015 yılının başında Brezilya’daki kolluk kuvvetleri, Sao Paulo’da çalışan bir Microsoft yöneticisini, Microsoft’un istenen bilgiyi Amerikan kanunları sebebiyle Brezilya hükümeti ile paylaşmaması sebebiyle göz altına almıştı.
Google, Fransa’da ilgili kişiler tarafından internet üzerinde yapılan aramaların %99’unda unutulma hakkının aktif bir şekilde
uygulandığını iddia etmektedir. Öte taraftan, Google Avrupa Birliği’nin diğer yargı alanlarıyla ilgili yasal çatışmanın en aza indirme konusunda yükümlülüğünün olduğunu ileri sürmeyi de
planlamaktadır. Ayrıca, unutulma hakkının içeriğine ilişkin ciddi belirsizlikler olduğu ve özellikle ABD gibi ülkelerde ifade özgürlüğünün genellikle
mahremiyet hukukuna üstün geldiği vurgulanmaktadır.
Grup mahkemeye sunduğu yazıda
«Diğer yargı mercilerinin aynı küresel uygulama alanını istemelerini önleyecek hiçbir şey olmaz’. Sonuç ‘dibe doğru bir yarış’
olur, zira bir ülke tarafından üzerinden konuşulması
yasaklanmış bir husus küresel bir zeminde diğerleri için de
yasaklanabilir» savunmasını yapmıştır.
Dava halen devam etmekle birlikte Fransa 2019 yılında yeniden yargılama yapacağını duyurdu.
Google, davayı kaybetmesi halinde ne yapacağına ilişkin herhangi bir yorum yapmıyor.
www.gsghukuk.com
GSG Hukuk 6 www.gsghukuk.com
KISALTMALAR
AB Avrupa Birliği
Aydınlatma Tebliği
10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayınlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
B2B Business to business
BTK Bilgi Teknolojileri ve İletişim Kurumu
ICO Information Commissioner's Office
GDPR General Data Protection Regulation
Kurum Kişisel Verileri Koruma Kurumu Kurul Kişisel Verileri Koruma Kurulu
KVKK Kişisel Verileri Koruma Kanunu
m. Madde
Örn. Örnek
USOM Ulusal Siber Olaylara Müdahale Merkezi
Nilgün Serdar Şimşek, LL.M.
Ortak, Avukat
T: +90 (212) 326 63 68 nilgun.simsek@gsghukuk.com
Rıza Eroğlu Kıdemli Müdür T: +90 (212) 326 64 61 riza.eroglu@gsghukuk.com
İpek Okucu Taftalı Müdür, Avukat
T: +90 (212) 326 60 60/3881 ipek.okucu@gsghukuk.com
GSG Hukuk
Aylık Kişisel Verilerin Korunması Hukuku Bülteni
Eylül 2018
Süleyman Seba Cad.
No :48 BJK Plaza B Blok K:4 Akaretler
Beşiktaş - İstanbul
www.gsghukuk.com
KVKK kapsamında yerine getirmeniz gereken hukuki yükümlülükler hakkında daha detaylı bilgi almak için bizimle iletişime geçin